HP Inc. publicó su más reciente informe trimestral de estadísticas de amenazas cibernéticas, el cual ofrece un análisis de los ataques en el mundo real en contra de los usuarios a nivel global. El informe reveló que el 29% del malware capturado no se conocía anteriormente* debido al uso generalizado de técnicas de empaquetado y las tácticas de los atacantes para eludir la detección. El 88% del malware fue distribuido por correo electrónico en los buzones de los usuarios, en muchos casos después de haber evitado los filtros de entrada. Transcurrieron 8.8 días en promedio para que las amenazas fueran identificadas con hash en los motores de antivirus, lo cual les dio a los hackers más de una semana de ventaja para promover sus campañas.
El informe proporciona una perspectiva única del comportamiento del malware “in the wild” ya que, a diferencia de otras herramientas de seguridad de punto final que tienen como objetivo prevenir o intervenir en un ataque, HP Sure Click permite que el malware opere, engañando al malware para que se ejecute, mientras captura toda la cadena de infección dentro de máquinas microvirtuales aisladas. Este enfoque reforzado por hardware para la seguridad hace que el malware se vuelva inofensivo y mantenga seguros a los usuarios.
“Este informe destaca las deficiencias en las defensas tradicionales que dependen de la detección para bloquear el malware,” anunció el Dr. Ian Pratt, jefe global de seguridad para sistemas personales de HP Inc. “Los atacantes han encontrado en repetidas ocasiones nuevas formas de eludir las herramientas tradicionales basadas en la detección, lo cual vuelve más importante que nunca para las organizaciones construir principios de diseño de confianza cero en su arquitectura de seguridad.”
Las amenazas destacadas que fueron aisladas por HP Sure Click incluyeron:
- Exploits en los navegadores web que conducen a FickerStealer: Una campaña de malware que se basaba en los nombres mal deletreados de los dominios de los servicios populares de comunicación instantánea. Los visitantes eran redirigidos a páginas de destino con Rig EK que intentaban explotar las vulnerabilidades del navegador web y los complementos para infectar las computadoras personales de los visitantes con malware destinado al robo de información, llamado FickerStealer.
- Señuelos temáticos que incitan a los usuarios a permitir la entrada de RATs: Un nuevo generador de malware de Office, llamado APOMacroSploit, se usó para dirigirse a las víctimas en campañas de spam temáticas, engañándolas para abrir archivos adjuntos XLS convertidos en armas que básicamente conducían a troyanos de acceso remoto BitRAT a desplegarse en sus computadoras.
- El regreso de ZLoader: un aumento en la actividad de los troyanos bancarios ZLoader que usan una combinación de técnicas, incluidos los documentos de Word que se hacen pasar por facturas farmacéuticas, y que ejecutan macros maliciosos solo después de que el documento ha sido cerrado.
- El arte de desviar la atención a través de DOSfuscation: En el brote final de actividad de Emotet, previo a su desmantelamiento en enero de 2021, se vio la forma como sus operadores modificaban el downloader usando técnicas de DOSfuscation para hacer la ofuscación más compleja. El downloader también generaba un mensaje de error cuando se abría, ayudando a evitar la sospecha de los usuarios cuando los documentos maliciosos no se comportaban como se esperaba.
- Secuestro de hilos de correo electrónico de objetivos gubernamentales: HP Sure Click detuvo los ataques de secuestro de hilos de correo electrónico en contra de organizaciones gubernamentales en Centroamérica, donde los datos robados de correo electrónico se usaban para crear señuelos de phishing convincentes con el fin de distribuir Emotet.
“El ciberdelito oportunista no muestra signos de desaceleración,” señaló Alex Holland, analista senior de malware de HP Inc. “Los cibercriminales están explotando los kits de malware como servicio de bajo costo que están proliferando en los foros clandestinos. Kits como APOMacroSploit, que apareció en el cuarto trimestre de 2020, se puede comprar por tan solo 50 USD, lo cual ilustra cuán baja está la barrera de entrada para el ciberdelito oportunista. También hemos visto a actores de amenazas seguir experimentando con técnicas de distribución de malware para mejorar sus oportunidades de establecer puntos de apoyo en las redes. Las técnicas de ejecución más efectivas que vimos en el cuarto trimestre de 2020 incluían viejas tecnologías como las macros 4.0 de Excel, que por lo general ofrecían poca visibilidad a las herramientas de detección.”
Otras revelaciones clave en el informe incluyen:
- Los troyanos constituyeron el 66% de las muestras de malware analizadas, impulsadas en gran parte por campañas de spam malicioso que distribuían malware de Dridex, el cual fue señalado en un blog reciente de HP por haber aumentado su prevalencia en un 239%
- El 88% de malware detectado fue distribuido vía correo electrónico, en donde los señuelos más comunes fueron facturas falsas como archivos adjuntos, mientras que las descargas de la red fueron responsables del 12% restante.
- Los tipos más comunes de archivos adjuntos maliciosos fueron: documentos (31%), archivos de almacenamiento (28%), hojas de cálculo (19%) y archivos ejecutables (17%) .
- Los ejecutables maliciosos aumentaron un 12%, con la vulnerabilidad etiquetada como CVE-2017-11882 —un defecto de corrupción de memoria en el editor de ecuaciones de Microsoft Office— representando casi las tres cuartas partes de las vulnerabilidades de seguridad aisladas por HP Sure Click.
- Un 12% de aumento en malware que aprovecha la vulnerabilidad CVE-2017-0199, y que se usa comúnmente para ejecutar scripts maliciosos que despliegan malware cuando un usuario abre un documento de Office.
“El cuarto trimestre vio a los atacantes cibernéticos cambiar de documentos de Word a archivos ejecutables para distribuir RATs. Hubo un repunte en campañas de correo electrónico malicioso dirigidas a los usuarios alemanes con RATs de Agent Tesla y Formbook que se distribuían como ejecutables adjuntos en los correos electrónicos,” informó Holland. “El mayor aumento fue en las campañas de Dridex, que se usan generalmente para desplegar ransomware. En definitiva, cualquier atacante que obtiene un punto de apoyo en un dispositivo de punto final es mala noticia. Ellos pueden usar este acceso para cancelar credenciales, moverse lateralmente entre sistemas, filtrar datos, o vender su acceso a otros ciberdelincuentes; de ahí que se conviertan en un riesgo enorme para las empresas.”
“Por cada nueva variante de malware que crean los hackers, ellos tienen la ventaja de algunos días para capitalizar sus campañas, infectando máquinas antes de que las herramientas de detección les den alcance. Con la automatización, este proceso ahora es más fácil que nunca.” Apuntó el Dr. Pratt.
“Intentar detectar todas las amenazas es un esfuerzo en vano, ya que algo siempre se filtrará a través de la red,” agregó Pratt. “La mejor defensa cibernética es ser capaz de aislar los riesgos en el punto final a través de la microvirtualización. Esta clase de aislamiento reforzado por hardware elimina la oportunidad de que el malware cause daño a la computadora host, incluso de malware novedoso, porque no solo depende de un modelo de seguridad basado en detectar para proteger. Al tener seguridad integrada a nivel hardware, los dispositivos de punto final pueden ayudar a defender a los usuarios y recuperarse de los ataques automáticamente, mejorando la resiliencia de las empresas. De esta manera, las compañías pueden seguir adelante haciendo lo que mejor saben hacer, seguras en el conocimiento de que sus usuarios y datos están protegidos.”
Sobre los datos
Estos datos fueron reunidos dentro de las máquinas virtuales de los usuarios de HP Sure Click de octubre a diciembre de 2020.